今天,絕大多數數
重慶網站制作Web應用程序都采用傳統的身份驗證機制模型,即要求用戶提交用戶名與密碼,再由應用程序對其進行核實,確認其合法性。身份驗證機制是當今應用程序處理用戶訪問的最基本的機制。
驗證用戶是指確定用戶的真實身份,如果不采用這個機制,應用程序會將所有作為匿名用戶對待,這是最低一級的信任。
在安全性至關重要的今天,應用程序中,通常使用軀體證書與多階段登陸過程強化這個傳統原始的基本模型,比如,電子銀行使用的應用程序,在安全更高的情況下,可能需要基于客戶端證書、智能卡或質詢-響應令牌使用身份驗證模型。
常見的問題可能使用攻擊者能夠確定其他用戶名、推測出他們的密碼,或利用其邏輯缺陷完全避開登陸功能。身份驗證機制除了核心登陸過程外,身份驗證機制往往還要采取一系列的支持功能,如自我密碼保護。自我回答問題,賬戶恢復,手機綁定或修改工具等。盡管表面看似簡單,但是無論設計方面還是執行方面,身份驗證都可能存在大量的缺陷。
出人意料,這種功能中存在的缺陷往往允許攻擊者非法訪問敏感數據與功能,攻擊Web應用程序是,滲透測試員應當投入更大的精力,攻擊應用程序采用各種與身份證相關的功能。
文章名稱:應用程序中的身份驗證機制
文章轉載:http://m.newbst.com/news48/164248.html
成都網站建設公司_創新互聯,為您提供微信公眾號、用戶體驗、全網營銷推廣、ChatGPT、小程序開發、企業建站
廣告
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源:
創新互聯